Under den CISSPforum, En zombie fråga om lösenord har ökat från de döda ännu en gång.

Denna gång, någon kunnig göra det en förutsättning för sysselsättning "att" Om du inte kommer ihåg ett användarnamn och lösenord, hitta arbete på annat håll. "

Nå ja, men inga men. En användarnamn och En lösenord, även en relativt stark en, skulle vara bra för de flesta. Tyvärr, vi behöver laddas.

Som informationssäkerhet proffs, är det inte en del av våra roller och ansvar att göra information säkerhet så skonsamma som möjligt om organisationen (inklusive dess mest värdefulla tillgångar, folket) utan att i onödan inkräktar på den nivå av säkerhet?

Att tvinga människor att välja delar av komplexa / starka lösenord, ändra dem ofta och minns dem, vill det eller ej, är en utmaning för den genomsnittliga mänskliga, mig med. Jag för länge sedan givit upp försöken att tänka och minnas starka lösenord för alla webbplatser jag besöker. För ett tag jag skrev ner lösenord och säkrat papper så gott jag kunde. Pass fraser fungerat bättre, men då jag bara förvirrad själv genom att uppfinna dunkla regler för skiljetecken och 133tne55 och med senilility närmar sig, jag har problem att komma ihåg användarnamn bit också.

Nu vill jag använda ett lösenord valv som gör det möjligt för mig att skapa ett säkert sätt lagra och snabbt minns helt löjligt lösenord upp till den maximala längd som tillåts av verifieringssystem (1000 + karaktär lösenord? Inga problem sir, här har du. Fancy en annan? Poof! Dina klick är min) och lika komplex som en mycket komplicerad sak om Komplexitetsteori Day. Allt jag behöver göra är att komma ihåg ett starkt lösenord / lösenord för att låsa upp valv och genom praxis Jag får ganska bra på att göra det, tack vare inställningen lösenordet livstid inställningen till "blue moon". Jag kan spara lösenord och noter för andra icke-webbaserat system också.

Ja, jag lägger mina ägg i en korg och ja jag absolut inte uppskattar risken för detta. Jag agonised över detta. Sammantaget min riskbedömning övertygat mig om att, jämfört med de bitar av papper och enstaka lockout ( plus de dumma lösenordsåterställning frågor eller "Tack. Vi har just mailas ditt lösenord i klartext till ett e-postkonto du ut på posten hos oss för fem år sedan. Ha en trevlig dag"), valv genomförande av AES, i kombination med min förmåga att inte avslöja valv knapp, vinner lätt. Och ja jag ta hand över att inte avslöja något, till exempel aldrig skriva det i allmänhetens tillgång persondatorer, och använder ett starkt lösenord / fras. Och som en paranoid säkerhet geek, jag allvarligt funderar på att köpa ett USB-minne med fingeravtrycksläsare för pansar-plattan ägg korgen.

I detta fall åtminstone teknik kan göra världen en säkrare plats.

Hälsningar,
Gary Hinson CISSP
NoticeBored information säkerhetsmedvetenheten

Svara inte på denna bloggpost här - gå med i diskussionen om CISSPforum.




Mer ...